前端传过来的富文本框内容都带有Html标签甚至有css/js代码,数据库是有防入侵会自动过滤掉这些标签。
String s = "<p>xxxxxxx</p>\n<p> xxxx</p>";
//编码转换
String s1 = HtmlUtils.htmlEscape(s);
//读取
String s2 = HtmlUtils.htmlUnescape(s1);
ruoyi框架。
经过网关请求后端拿到的数据没有html的标签。
问题:拦截攻击问题,默认会把字符串中含有代码的标签过滤
解决:
可以关掉 XSS 不生效 或者 配置自己的接口路径请求时过滤掉
# 防止XSS攻击
xss:
enabled: true //是否开启 XSS true / false
excludeUrls:
- /xxx/xxxx // 接口路径